2021-05-12 14:32:11
Linux中SSH遠端存取及控制
2020-06-16 16:30:49
SSH遠端管理
SSH遠端控制介紹
SSH是一種安全通道協定,主要用來實現字元介面的遠端登入、遠端複製等功能。SSH協定對通訊雙方的資料傳輸進行了加密處理,其中包括使用者登入時輸入的使用者口令。與早期的telnet、rsh、rcp等應用相比,SSH協定提供了更好的安全性。
OpenSSH伺服器
SSH協定
- 為客戶機提供安全的shell環境,用於與遠端管理
- 預設埠:TCP 22
OpenSSH
- 服務名稱:sshd
- 伺服器端主程式:/usr/sbin/sshd
- 伺服器端組態檔:/etc/ssh/sshd_config
- 用戶端組態檔:ssh_config
服務監聽選項
- 埠號、協定版本、監聽IP地址
- 禁用反向解析
#Port 22 //埠號 #AddressFamily any #ListenAddress 0.0.0.0 //ipv4監聽地址 #ListenAddress :: //ipv6監聽地址
使用者登入控制
- 禁止root使用者、空密碼使用者
- 登入時間、重試次數
- AllowUsers、DenyUsers(黑白名單,允許和拒絕)
#LoginGraceTime 2m //對談時間 #PermitRootLogin yes //是否進位制root登入 #StrictModes yes //是否驗證存取許可權 #MaxAuthTries 6 //驗證次數6次 #MaxSessions 10 //存取的最大連結數 #PubkeyAuthentication yes //是否驗證公鑰
登入驗證物件
- 伺服器中的本地使用者賬戶
登入驗證方式
- 密碼驗證:核對使用者名稱、密碼是否匹配
- 金鑰對驗證:核對客戶的私鑰、伺服器端公鑰是否匹配
使用SSH用戶端程式
- ssh命令——遠端安全登入
- scp命令——遠端安全複製
- sftp命令——安全FTP上下載
- get 下載
- put 上傳
- bye 退出
Demo
在VMware 15中開啟兩天Linux系統,一台用作主伺服器(tast01IP地址:192.168.144.133),一台用作遠端終端(tast02IP地址:192.168.144.135),使用SSH協定登入主伺服器
使用SSH服務
1、在tast01中進入SSH主伺服器組態檔,更改組態檔條目,開啟SSH服務。
[root@tast01 ~]# vim /etc/ssh/sshd_config //進入編輯伺服器組態檔資訊 Port 22 //開啟埠 #AddressFamily any #ListenAddress 0.0.0.0 #ListenAddress :: :wq //儲存退出 [root@tast01 ~]# systemctl restart sshd //重新啟動SSH服務
2、在tast02中使用SSH服務登入tast01。
[root@tast02 ~]# ssh root@192.168.144.133 //使用SSH服務登入tast01伺服器 The authenticity of host '192.168.144.133 (192.168.144.133)' can't be established. ECDSA key fingerprint is SHA256:B8IsZOFG7FbtVkIK+dMILmo0iA4OEIeVGY0GnnCbXhk. ECDSA key fingerprint is MD5:c2:d8:09:17:de:6e:ec:07:06:1b:ac:b6:1e:bd:62:09. Are you sure you want to continue connecting (yes/no)? yes //詢問是否建立對談 Warning: Permanently added '192.168.144.133' (ECDSA) to the list of known hosts. root@192.168.144.133's password: //輸入密碼 Last login: Mon Sep 9 13:59:09 2019 [root@tast01 ~]# //成功登入tast01 [root@tast01 ~]# exit //退出 登出 Connection to 192.168.144.133 closed. [root@tast02 ~]# //回到tast02埠
3、回到tast01伺服器,更改SSH伺服器組態檔,禁止root使用者登入。然後再建立siti使用者
[root@tast01 ~]# vim /etc/ssh/sshd_config //進入編輯主組態檔 #LoginGraceTime 2m PermitRootLogin no //開啟是否啟用禁用root登入,更改yes為no,禁止root使用者登入 #StrictModes yes #MaxAuthTries 6 #MaxSessions 10 :wq //儲存退出 [root@tast01 ~]# systemctl restart sshd //重新啟動服務 [root@tast01 ~]# useradd siti //建立siti普通使用者 [root@tast01 ~]# passwd siti //設定使用者密碼 更改使用者 siti 的密碼 。 新的 密碼: 無效的密碼: 密碼少於 8 個字元 重新輸入新的 密碼: passwd:所有的身份驗證令牌已經成功更新。 [root@tast01 ~]# id siti //檢視新建使用者siti資訊 uid=1001(siti) gid=1001(siti) 組=1001(siti) [root@tast01 ~]# id sun //檢視使用者sun資訊 uid=1000(sun) gid=1000(sun) 組=1000(sun),10(wheel)
4、使用tast02登入tast01的root使用者,看更改的服務是否生效
[root@tast02 ~]# ssh root@192.168.144.133 //使用SSH服務登入tast01伺服器root使用者 root@192.168.144.133's password: //輸入密碼登入 Permission denied, please try again. //拒絕登入root root@192.168.144.133's password: Permission denied, please try again. root@192.168.144.133's password: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). //嘗試輸入密碼三次後彈出,拒絕登入 [root@tast02 ~]# ssh siti@192.168.144.133 //使用SSH服務登入siti使用者 siti@192.168.144.133's password: [siti@tast01 ~]$ //成功登入tast01伺服器siti使用者 [siti@tast01 ~]$ su - root //再siti使用者下使用su切換root使用者 ]密碼: //輸入密碼 上一次登入:一 9月 9 15:16:00 CST 2019從 192.168.144.135pts/1 上 最後一次失敗的登入:一 9月 9 15:33:03 CST 2019從 192.168.144.135ssh:notty 上 最有一次成功登入後有 3 次失敗的登入嘗試。 [root@tast01 ~]# //成功登入root使用者。 [root@tast01 ~]# exit //退出 登出 [siti@tast01 ~]$ exit //退出 登出 Connection to 192.168.144.133 closed. [root@tast02 ~]# //回到tast02使用者
5、通過上面的操作我們禁止了遠端登入root但是可以通過普通使用者切換登入,這個時候我們就可以開啟tast01系統中的pam認證,來提高系統的安全性。
[root@tast01 ~]# vim /etc/pam.d/su //進入編輯pam組態檔 #%PAM-1.0 auth sufficient pam_rootok.so # Uncomment the following line to implicitly trust users in the "wheel" group. #auth sufficient pam_wheel.so trust use_uid # Uncomment the following line to require a user to be in the "wheel" group. auth required pam_wheel.so use_uid //開啟pam認證 auth substack system-auth auth include postlogin account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session include postlogin session optional pam_xauth.so ~ ~ ~ :wq //儲存退出
6、檢視是否還能夠通過siti使用者切換到root使用者
[root@tast02 ~]# ssh siti@192.168.144.133 //登入siti使用者 siti@192.168.144.133's password: //輸入密碼 Last failed login: Mon Sep 9 16:09:32 CST 2019 from 192.168.144.135 on ssh:notty There was 1 failed login attempt since the last successful login. Last login: Mon Sep 9 15:47:20 2019 from 192.168.144.135 [siti@tast01 ~]$ su - root //登入siti使用者,並切換root使用者 密碼: //輸入密碼 su: 拒絕許可權 //許可權拒絕,無法切換 [siti@tast01 ~]$
7、因為設定了許可權,siti使用者不在wheel組,所以無法用siti使用者切換root使用者,我們可不可以通過siti使用者切換wheel組中sun使用者,再用sun使用者切換root,看是否可以。
[siti@tast01 ~]$ su - sun //切換sun使用者 密碼: //輸入密碼 su: 拒絕許可權 //許可權拒絕,無法切換 [siti@tast01 ~]$
9、回到tast01中開啟SSH服務設定密碼驗證次數服務
[root@tast01 ~]# vim /etc/ssh/sshd_config //進入伺服器組態檔 #LoginGraceTime 2m PermitRootLogin no #StrictModes yes MaxAuthTries 6 //開啟密碼驗證次數 #MaxSessions 10 :wq //儲存退出
10、進入tast02驗證密碼次數是否成功開啟
[root@tast02 ~]# ssh sun@192.168.144.133 //登入sun使用者 sun@192.168.144.133's password: //輸入錯誤密碼 Permission denied, please try again. //1次輸錯,拒絕登入 sun@192.168.144.133's password: //輸入錯誤密碼 Permission denied, please try again. //2次輸錯,拒絕登入 sun@192.168.144.133's password: //輸入錯誤密碼 Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). //3次輸入錯誤直接登出
11、通過上面的實驗發現並沒有實現6次密碼後再彈出,而是預設的三次,這個時候我們就用通過命令來提高預設密碼次數來實現密碼次數的設定。
[root@tast02 ~]# ssh -o NumberofPasswordPrompts=8 sun@192.168.144.133 //使用命令提高密碼輸入次數 sun@192.168.144.133's password: Permission denied, please try again. sun@192.168.144.133's password: Permission denied, please try again. sun@192.168.144.133's password: Permission denied, please try again. sun@192.168.144.133's password: Permission denied, please try again. sun@192.168.144.133's password: Permission denied, please try again. sun@192.168.144.133's password: Received disconnect from 192.168.144.133 port 22:2: Too many authentication failures Authentication failed. //輸入密碼6次後彈出,設設定生效
黑白名單設定(AllowUsers、DenyUsers)
在VMware 15中再增加一台Linux用戶端(tast03IP地址:192.168.144.132),用於遠端連線伺服器。
1、再tast01中設定ssh伺服器端組態檔,新增AllowUsers條目,新增僅允許登入的用戶端
[root@tast01 ~]# vim /etc/ssh/sshd_config //進入編輯ssh伺服器端組態檔
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 6
#MaxSessions 10
AllowUsers sun@192.168.144.135 stii //在此處新增條目,僅允許IP地址為192.168.144.135客戶機登入sun使用者
僅允許用戶端登入stii使用者
#PubkeyAuthentication yes
:wq //儲存退出
[root@tast01 ~]# useradd stii //新增stii使用者
[root@tast01 ~]# passwd stii //設定stii使用者密碼
更改使用者 stii 的密碼 。
新的 密碼:
無效的密碼: 密碼少於 8 個???符
重新輸入新的 密碼:
passwd:所有的身份驗證令牌已經成功更新。
[root@tast01 ~]# systemctl restart sshd //重新啟動ssh服務
2、分別在tast02、tast03客戶機使用ssh服務遠端登入tast01伺服器
[root@tast02 ~]# ssh sun@192.168.144.133 //在tast02用戶端中登入伺服器sun使用者 sun@192.168.144.133's password: //輸入密碼 Last failed login: Mon Sep 9 17:24:32 CST 2019 from 192.168.144.135 on ssh:notty There were 6 failed login attempts since the last successful login. Last login: Mon Sep 9 17:21:47 2019 from 192.168.144.133 [sun@tast01 ~]$ //成功登入 [sun@tast01 ~]$ exit //退出使用者 登出 Connection to 192.168.144.133 closed. [root@tast02 ~]# ssh siti@192.168.144.133 //使用ssh登入伺服器siti使用者 siti@192.168.144.133's password: //輸入密碼 Permission denied, please try again. //拒絕登入 [root@tast02 ~]# ssh stii@192.168.144.133 //登入stii使用者 stii@192.168.144.133's password: //輸入密碼 [stii@tast01 ~]$ //成功登入
[root@tast03 ~]# ssh sun@192.168.144.133 //tast03客戶機使用ssh服務登入伺服器sun使用者 The authenticity of host '192.168.144.133 (192.168.144.133)' can't be established. ECDSA key fingerprint is SHA256:B8IsZOFG7FbtVkIK+dMILmo0iA4OEIeVGY0GnnCbXhk. ECDSA key fingerprint is MD5:c2:d8:09:17:de:6e:ec:07:06:1b:ac:b6:1e:bd:62:09. Are you sure you want to continue connecting (yes/no)? yes //詢問是否建立對談,輸入yes確定建立對談 Warning: Permanently added '192.168.144.133' (ECDSA) to the list of known hosts. sun@192.168.144.133's password: //輸入密碼 Permission denied, please try again. //拒絕登入 [root@tast03 ~]# ssh siti@192.168.144.133 //tast03客戶機使用ssh服務登入伺服器siti使用者 siti@192.168.144.133's password: //輸入密碼 Permission denied, please try again. //拒絕登入 [root@tast03 ~]# ssh stii@192.168.144.133 //tast03客戶機使用ssh服務登入伺服器stii使用者 stii@192.168.144.133's password: //輸入密碼 Last login: Mon Sep 9 21:55:49 2019 from 192.168.144.135 [stii@tast01 ~]$ //成功登入
3、回到tast01伺服器,編輯ssh伺服器組態檔
[root@tast01 ~]# vim /etc/ssh/sshd_config //編輯ssh伺服器組態檔 #LoginGraceTime 2m PermitRootLogin no #StrictModes yes MaxAuthTries 6 #MaxSessions 10 DenyUsers sun@192.168.144.135 stii //刪除僅允許條目,新增拒絕條目 #PubkeyAuthentication yes :wq //儲存退出 [root@tast01 ~]# systemctl restart sshd //重新啟動ssh服務
4、分別在tast02、tast03客戶機使用ssh服務遠端登入tast01伺服器
[root@tast02 ~]# ssh sun@192.168.144.133 //在tast02用戶端中登入伺服器sun使用者 sun@192.168.144.133's password: //輸入密碼 Permission denied, please try again. //拒絕登入 [root@tast02 ~]# ssh stii@192.168.144.133 //在tast02用戶端中登入伺服器stii使用者 stii@192.168.144.133's password: //輸入密碼 Permission denied, please try again. //拒絕登入 [root@tast02 ~]# ssh siti@192.168.144.133 //在tast02用戶端中登入伺服器siti使用者 siti@192.168.144.133's password: //輸入密碼 Last failed login: Mon Sep 9 22:02:00 CST 2019 from 192.168.144.132 on ssh:notty There were 2 failed login attempts since the last successful login. Last login: Mon Sep 9 21:53:53 2019 from 192.168.144.135 [siti@tast01 ~]$ //成功登入
[root@tast03 ~]# ssh stii@192.168.144.133 //tast03客戶機使用ssh服務登入伺服器stii使用者 stii@192.168.144.133's password: //輸入密碼 Permission denied, please try again. //拒絕登入 [root@tast03 ~]# ssh sun@192.168.144.133 //tast03客戶機使用ssh服務登入伺服器sun使用者 sun@192.168.144.133's password: //輸入密碼 Last failed login: Mon Sep 9 22:30:55 CST 2019 from 192.168.144.135 on ssh:notty There was 1 failed login attempt since the last successful login. Last login: Mon Sep 9 22:24:51 2019 from 192.168.144.133 [sun@tast01 ~]$ //成功登入 [root@tast03 ~]# ssh siti@192.168.144.133 //tast03客戶機使用ssh服務登入伺服器siti使用者 siti@192.168.144.133's password: //輸入密碼 Last login: Mon Sep 9 22:32:16 2019 from 192.168.144.135 [siti@tast01 ~]$ //成功登入
使用金鑰對驗證登入
1、首先在tast01伺服器中進入編輯ssh組態檔,開啟金鑰驗證條目
[root@tast01 ~]# vim /etc/ssh/sshd_config //編輯ssh組態檔 #LoginGraceTime 2m PermitRootLogin no #StrictModes yes MaxAuthTries 6 #MaxSessions 10 DenyUsers sun@192.168.144.135 stii PubkeyAuthentication yes //開啟金鑰對驗證功能 # The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2 # but this is overridden so installations will only check .ssh/authorized_keys AuthorizedKeysFile .ssh/authorized_keys //金鑰存放位置 :wq //儲存退出
2、進入用戶端tast02客戶機中,設定金鑰
[root@tast02 ~]# useradd siaa //在tast02客戶機中建立使用者 [root@tast02 ~]# passwd siaa //設定使用者目錄 更改使用者 siaa 的密碼 。 新的 密碼: 無效的密碼: 密碼少於 8 個字元 重新輸入新的 密碼: passwd:所有的身份驗證令牌已經成功更新。 [root@tast02 ~]# su - siaa //切換至使用者siaa [siaa@tast02 ~]$ ssh-keygen -t ecdsa //製作ecdsa型別金鑰 Generating public/private ecdsa key pair. Enter file in which to save the key (/home/siaa/.ssh/id_ecdsa): //金鑰存放位置,保持不變,直接回車 Created directory '/home/siaa/.ssh'. Enter passphrase (empty for no passphrase): //輸入要設定的密碼 Enter same passphrase again: //再次輸入密碼 Your identification has been saved in /home/siaa/.ssh/id_ecdsa. Your public key has been saved in /home/siaa/.ssh/id_ecdsa.pub. The key fingerprint is: SHA256:5mTvLU19q7uUUXECnEmNldB3S4gUiNZdvm1zupFUf0Y siaa@tast02 The key's randomart image is: +---[ECDSA 256]---+ | o +=B@+o.| | o o o*.+o=| | . ..oE| | ++.| //生成ecdsa金鑰 | S +.+=| | = . ..=+=| | . .o o+..| | ...o + | | ...+= | +----[SHA256]-----+ [siaa@tast02 ~]$ ls -a //檢視使用者家目錄隱藏檔案 . .. .bash_logout .bash_profile .bashrc .cache .config .mozilla .ssh [siaa@tast02 ~]$ cd .ssh //進入生成的.ssh目錄 [siaa@tast02 .ssh]$ ls //檢視目錄內容 id_ecdsa id_ecdsa.pub //生成的私鑰與公鑰檔案 [siaa@tast02 .ssh]$ ssh-copy-id -i id_ecdsa.pub siti@192.168.144.133 //指定生成的公鑰檔案推播到伺服器siti使用者 /bin/ssh-copy-id: INFO: Source of key(s) to be installed: "id_ecdsa.pub" The authenticity of host '192.168.144.133 (192.168.144.133)' can't be established. ECDSA key fingerprint is SHA256:B8IsZOFG7FbtVkIK+dMILmo0iA4OEIeVGY0GnnCbXhk. ECDSA key fingerprint is MD5:c2:d8:09:17:de:6e:ec:07:06:1b:ac:b6:1e:bd:62:09. Are you sure you want to continue connecting (yes/no)? yes //詢問是推播,輸入yes /bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys siti@192.168.144.133's password: //輸入伺服器siti使用者密碼 Number of key(s) added: 1 //成功新增檔案 Now try logging into the machine, with: "ssh 'siti@192.168.144.133'" and check to make sure that only the key(s) you wanted were added. [siaa@tast02 .ssh]$ ls //檢視目錄資訊 id_ecdsa id_ecdsa.pub known_hosts //建立檔案Known_hosts [siaa@tast02 .ssh]$ vim known_hosts //檢視檔案資訊 192.168.144.133 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBC6sBj5BEqQkEIXTdcRDCzDlQRfhaoaY7OvyWzxcNxt+n6ZjbA1PSYK2SeTW3MAhUZOry7T6gNDFL7YyfMfXOGo= //成功將ecdsa生成的金鑰推播給伺服器
3、回到tast01伺服器中檢視siti家目錄中是否有推播的檔案
[root@tast01 ~]# cd /home/siti //進入siti家目錄 [root@tast01 siti]# ls -a //檢視隱藏檔案 . .bash_history .bash_profile .cache .mozilla .. .bash_logout .bashrc .config .ssh [root@tast01 siti]# cd .ssh //進入新增的.ssh目錄 [root@tast01 .ssh]# ls //檢視資訊 authorized_keys [root@tast01 .ssh]# cat authorized_keys //檢視資訊內容 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBD6B4elJHibp7lYDfogSfd7krTUPyKzvLHZNk75GTm1oibrA0aMirgtwxxfUEOi+9+ZGU2V0C3+zH6vQpjvvPoo= siaa@tast02 //siaa@tast02的ecdsa加密檔案
4、在tast02用戶端中使用siaa使用者進行驗證登入伺服器tast01中siti使用者
[siaa@tast02 .ssh]$ whoami //使用命令檢視當前登入使用者 siaa //確定當前登入使用者為siaa [siaa@tast02 .ssh]$ ssh siti@192.168.144.133 //使用ssh服務登入伺服器siti使用者 Enter passphrase for key '/home/siaa/.ssh/id_ecdsa': //輸入設定的ecdsa密碼 Last login: Mon Sep 9 22:37:19 2019 from 192.168.144.132 [siti@tast01 ~]$ //成功登入伺服器siti使用者
5、設定客戶機信任使用者免驗證登入伺服器
[siti@tast01 ~]$ exit //退出當前使用者 登出 Connection to 192.168.144.133 closed. [siaa@tast02 .ssh]$ ssh-agent bash //回到tast02中siaa使用者,使用命令代理bash環境 [siaa@tast02 .ssh]$ ssh-add //使用命令新增驗證密碼 Enter passphrase for /home/siaa/.ssh/id_ecdsa: //輸入驗證密碼 Identity added: /home/siaa/.ssh/id_ecdsa (/home/siaa/.ssh/id_ecdsa) //成功新增密碼 [siaa@tast02 .ssh]$ ssh siti@192.168.144.133 //登入伺服器siti使用者 Last login: Mon Sep 9 23:31:28 2019 from 192.168.144.135 [siti@tast01 ~]$ //成功登入,免密碼驗證
SSH用戶端程式
1、進入tast01伺服器,編輯SSH組態檔,開啟root登入,因為在Linux系統中有些路徑沒有root許可權,無法實現複製功能,
[root@tast01 ~]# vim /etc/ssh/sshd_config ...//省略部分內容... # Authentication: #LoginGraceTime 2m PermitRootLogin yes //開啟登入root使用者許可權 #StrictModes yes MaxAuthTries 6 #MaxSessions 10 PubkeyAuthentication yes # The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2 :wq //儲存退出 [root@tast01 ~]# systemctl restart sshd //重新啟動SSH服務
2、在tast02中驗證root使用者登入許可權是否成功開啟。
[root@tast02 ~]# ssh root@192.168.144.133 //使用ssh服務登入伺服器root使用者 root@192.168.144.133's password: //輸入使用者密碼 Last login: Wed Sep 11 22:56:28 2019 from 192.168.144.135 [root@tast01 ~]# //成功登入
3、在tast02中退出伺服器root使用者登入,在opt目錄下建立檔案,使用scp命令推播給tast01使用者
[root@tast01 ~]# exit //退出 登出 Connection to 192.168.144.133 closed. [root@tast02 ~]# cd /opt/ //進入opt目錄 [root@tast02 opt]# ls //檢視 rh [root@tast02 opt]# echo "this is ssh-client" > ssh_client.txt //建立.txt檔案 [root@tast02 opt]# mkdir -p tast/si11 //遞回建立tast目錄並在tast目錄下建立si11目錄 [root@tast02 opt]# ls //檢視 rh ssh_client.txt tast //成功建立檔案與目錄 [root@tast02 opt]# scp ssh_client.txt root@192.168.144.133:/home/ //將建立的.txt檔案推播到伺服器root使用者home目錄下 root@192.168.144.133's password: //輸入密碼 ssh_client.txt 100% 19 6.0KB/s 00:00 //成功推播
4、回到tast01伺服器中,檢視home目錄下是否有推播過去的檔案。
[root@tast01 ~]# ls /home/ //檢視home目錄下檔案 ssh_client.txt sun //成功新增檔案 [root@tast01 ~]# cat /home/ssh_client.txt //檢視檔案內容 this is ssh-client //顯示檔案內容
5、在tast02中把剛建立的資料夾推播給tast01伺服器,並在tast01伺服器中檢視是否成功推播
[root@tast02 opt]# scp -r tast/ root@192.168.144.133:/home/ //推播資料夾 root@192.168.144.133's password: //輸入密碼 [root@tast02 opt]# //推播成功
[root@tast01 ~]# ls /home/ //檢視home目錄 ssh_client.txt sun tast //顯示推播的資料夾 [root@tast01 ~]# ls /home/tast/ //檢視資料夾內容 si11 //顯示建立的si11目錄
使用sftp命令實現遠端上傳和下載
1、在tast02中刪除建立的檔案與資料夾
[root@tast02 opt]# ls //檢視資訊 rh ssh_client.txt tast //顯示內容 [root@tast02 opt]# rm -rf ssh_client.txt //刪除txt檔案 [root@tast02 opt]# rm -rf tast/ //刪除資料夾 [root@tast02 opt]# ls //檢視 rh //成功刪除
2、使用sftp命令從tast01伺服器中下載檔案
[root@tast02 opt]# sftp root@192.168.144.133 //使用sftp命令登入tast01伺服器root使用者 root@192.168.144.133's password: //輸入密碼 Connected to 192.168.144.133. sftp> ls //成功登入並檢視目錄資訊 anaconda-ks.cfg initial-setup-ks.cfg 下載 公共 圖片 文件 桌面 模板 //此時在root使用者家目錄下 視訊 音樂 sftp> cd /home/ //進入home目錄 sftp> ls //檢視 ssh_client.txt sun tast //顯示內容 sftp> get ssh_client.txt //使用get命令下載txt檔案 Fetching /home/ssh_client.txt to ssh_client.txt /home/ssh_client.txt 100% 19 19.3KB/s 00:00 sftp> bye //退出 [root@tast02 opt]# ls //檢視目錄下是否有內容 rh ssh_client.txt //成功下載
3、將下載的檔案更改名字,在使用sftp命令將檔案上傳至tast01伺服器home目錄,並回到tast01伺服器中檢視資訊
[root@tast02 opt]# mv ssh_client.txt ssh_server.txt //更改檔名稱 [root@tast02 opt]# ls //檢視 rh ssh_server.txt //已更改 [root@tast02 opt]# sftp root@192.168.144.133 //使用sftp命令登入tast01root使用者 root@192.168.144.133's password: //輸入密碼 Connected to 192.168.144.133. sftp> cd /home/ //進入home目錄 sftp> ls //檢視內容 ssh_client.txt sun tast sftp> put ssh_server.txt //將檔案上傳至tast01伺服器home目錄中 Uploading ssh_server.txt to /home/ssh_server.txt ssh_server.txt 100% 19 15.6KB/s 00:00 sftp> bye //退出 [root@tast02 opt]#
[root@tast01 ~]# ls /home/ //檢視home目錄內容 ssh_client.txt ssh_server.txt sun tast //成功上傳檔案
TCP wrappers存取控制
TCP wrappers概述
保護原理
TCP wrappers將其他的TCP服務程式“包裹”起來,增加了一個安全的檢測過程,外來的連線請求必須先通過這層安全檢測,獲得許可後才能存取真正的服務程式。TCP wrappers還可以記錄所有企圖存取被保護服務的行為,為管理員提供豐富的安全分析資料。TCP wrappers的存取是基於TCP協定的應用服務。
保護機制的實現方式
- 方式1:通過tcpd主程式對其他服務程式進行包裝
- 方式2:有其他服務程式呼叫libwrap.os.*連線庫
存取控制策略的組態檔
- /etc/hosts.allow
- /etc/hosts.deny
TCP Wrappers策略應用
設定存取控制策略
- 策略格式:服務列表:客戶機地址列表
-
服務列表
- 多個服務以逗號分隔,ALL表示所有服務
- 客戶機地址列表
- 多個地址以逗號分隔,ALL表示所有地址
- 允許使用萬用字元?和*
- 網段地址,如:192.168.4.0或者192.168.4.0/255.255.255.0
- 區域地址,如:.benet.com
策略的應用順序
- 先檢查hosts.allow,找到匹配則允許存取
- 否則再檢查hosts.deny,找到則拒絕存取
- 若兩個檔案中均無匹配策略,則預設允許存取
Demo
實驗環境:
在VMware 15中開啟三台CentOS 7系統計算機,主機名分別為tast01、tast02、tast03,tast01作為伺服器系統,tast02、tast03分別為兩台客戶機,tast01IP地址:192.168.144.133、tast02IP地址:192.168.144.135、tast03IP地址:192.168.144.132
搭建實驗
使用TCP Wrappers之前我們先要檢視etc目錄下是否存在hosts.allow組態檔,有此組態檔才可以正常使用TCP Wrappers功能。(一般系統預設設定此檔案)
[root@tast01 ~]# cd /etc //進入etc目錄 [root@tast01 etc]# ls ./ | grep *.allow //檢視當前目錄內容,並過濾所有字尾為.allow的檔案 hosts.allow //顯示檔案
進入 hosts.allow組態檔,設定僅允許192.168.144.132客戶機可以通過ssh服務存取伺服器,在hosts.deny組態檔中新增拒絕所有客戶機使用SSH服務存取伺服器。
[root@tast01 etc]# vim hosts.allow //進入編輯組態檔 ## hosts.allow This file contains access rules which are used to # allow or deny connections to network services that # either use the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers # # sshd:192.168.144.132 //新增條目,僅允許192.168.144.132客戶機存取伺服器 ~ ~ ~ :wq //儲存退出 [root@tast01 etc]# vim hosts.deny # # hosts.deny This file contains access rules which are used to # deny connections to network services that either use # the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # The rules in this file can also be set up in # /etc/hosts.allow with a 'deny' option instead. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers # sshd:ALL //編輯條目拒絕所有客戶機存取(注意,此處使用大寫) ~ ~ ~ :wq //儲存退出
[root@tast03 ~]# ssh root@192.168.144.133 //使用tast03客戶機存取伺服器 root@192.168.144.133's password: //輸入密碼 Last login: Mon Sep 16 13:43:33 2019 [root@tast01 ~]# //成功登入
[root@tast02 ~]# ssh root@192.168.144.133 //使用tast02客戶機存取伺服器 ssh_exchange_identification: read: Connection reset by peer //拒絕存取 [root@tast02 ~]#
相關文章